No quiero dejar pasar esta ocasión para abordar uno de mis “caballos de batalla” más importantes cuando trabajamos con los encargados de tratamiento de nuestros clientes. Me refiero al apartado primero del artículo 33 RGPD “Notificación de una violación de la seguridad de los datos personales a la autoridad de control”.

Cuando digo que es uno de mis “caballos de batalla”, es debido a que es mucho más frecuente de lo que deseado encontrar en los contratos que regulan la relación entre el responsable del tratamiento y su encargado, dentro de la cláusula regulatoria de las violaciones o brechas de seguridad y su notificación, la potestad a los encargados de tratamiento de la comunicación de sus violaciones de seguridad a los responsables del tratamiento, según entiendan los primeros de la existencia, o no, de riesgo para los derechos y libertades de las personas físicas implicadas en dicha violación.

El referido apartado 1. del artículo 33 dice: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación”.

La correcta lectura, según el humilde criterio de este autor, deja claro que el único que tiene capacidad de notificar o no (como decía el clásico) a la autoridad de control una brecha de seguridad es el responsable del tratamiento. Y esto será bajo su responsabilidad y después de una profunda reflexión y valoración del riesgo para los derechos y libertades de las personas físicas.

Si el legislador hubiera querido que esta capacidad recayera, también, en los encargados de tratamiento estos hubieran sido incluidos en la redacción de dicho apartado.

No por escueta deja de ser importante, según mi criterio, poner en común con todos los lectores esta interpretación de la norma. La correcta incorporación del “cuando” y “como” comunicar una violación de seguridad en los contratos de acceso a datos por terceros puede variar en mucho el devenir de una brecha o violación de seguridad, y por lo tanto, de las responsabilidades que deberán asumir aquellos que estén directa o indirectamente relacionados con la misma.

Manuel del Palacio